Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo risponde alle domande comuni sulla rotazione del certificato radice.
Cosa accade se rimuovo il certificato DigiCert Global Root CA?
Se si rimuove il certificato prima che Microsoft ruoti il certificato, le connessioni falliscono. Aggiungere di nuovo il certificato DigiCert Global Root CA all'archivio certificati client per ripristinare la connettività.
Come è possibile assicurarsi che le connessioni MySQL funzionino dopo aver scaricato il certificato DigiCert Global Root G2?
Dopo la modifica del certificato radice, viene eseguito il push del nuovo certificato nei server. Quando si riavvia il server, viene usato il nuovo certificato. Se si verificano problemi di connettività, controllare le istruzioni precedenti per eventuali errori.
Se non si usa SSL/TLS, è comunque necessario aggiornare il certificato radice?
No. Non è necessario eseguire alcuna azione se non si usa SSL/TLS.
Se si usa SSL/TLS, è necessario riavviare il server di database per aggiornare il certificato radice?
No. Se si usa SSL/TLS, non è necessario riavviare il server di database per iniziare a usare il nuovo certificato.
L'aggiornamento del certificato è una modifica lato client. Le connessioni client in ingresso devono usare il nuovo certificato per connettersi al server di database.
Questa modifica richiede di pianificare i tempi di inattività di manutenzione per il server di database?
No. Poiché la modifica è solamente sul lato client per la connessione al server del database, non richiede interruzioni per manutenzione del server del database.
Esiste un piano di ripristino dello stato precedente per la rotazione del certificato radice?
Se l'applicazione riscontra problemi dopo la rotazione del certificato, sostituire il file del certificato reinstallando il certificato combinato o il certificato basato su SHA-2, a seconda del caso d'uso. È consigliabile non eseguire il rollback della modifica perché la modifica è obbligatoria.
I certificati usati da Database di Azure per MySQL sono attendibili?
I certificati usati da Database di Azure per MySQL provengono da autorità di certificazione attendibili. Questi certificati sono supportati in base al supporto fornito dall'autorità di certificazione.
Il certificato CA Globale DigiCert utilizza l'algoritmo di hashing SHA-1, meno sicuro rispetto ad altri. Questo algoritmo compromette la sicurezza delle applicazioni che si connettono a Database di Azure per MySQL. Per questo motivo, è necessario eseguire una modifica del certificato.
Il certificato DigiCert Global Root G2 è lo stesso certificato usato dall'opzione di distribuzione Server singolo?
Sì. Il certificato DigiCert Global Root G2 è il certificato radice basato su SHA-2 per Database di Azure per MySQL. È lo stesso certificato usato dall'opzione di distribuzione Server singolo.
Se si usano repliche in lettura, è necessario eseguire questo aggiornamento solo nel server di origine o anche nelle repliche in lettura?
Poiché questo aggiornamento è una modifica lato client, è necessario applicare le modifiche per tutti i client che leggono dati dal server di replica.
Se si usa la replica dei dati in ingresso, è necessario eseguire un'azione?
Se stai usando la replica dei dati in per connetterti a Azure Database per MySQL, e la replica dei dati avviene tra due database Azure Database per MySQL, è necessario reimpostare la replica eseguendo CALL mysql.az_replication_change_master. Specificare il certificato dual-root triplo come ultimo parametro , master_ssl_ca.
È necessario eseguire un'azione se sono già presenti DigiCert Global Root G2 e Microsoft Root Certificate Authority 2017 nel file del certificato?
No. Non è necessario eseguire alcuna azione se il file del certificato contiene già il DigiCert Global Root G2 certificato e il Microsoft Root Certificate Authority 2017 certificato.
Come è possibile sapere se si usa SSL/TLS con la verifica del certificato radice?
È possibile identificare se le connessioni verificano il certificato radice esaminando la stringa di connessione:
- Se la stringa di connessione include
sslmode=verify-caosslmode=verify-identity, è necessario aggiornare i certificati radice attendibili. - Se la stringa di connessione include
sslmode=disable,sslmode=allowsslmode=prefer, osslmode=require, non è necessario aggiornare i certificati radice attendibili. - Se la stringa di connessione non specifica
sslmode, non è necessario aggiornare i certificati.
Se si usa un client che astrae la stringa di connessione, esaminare la documentazione del client per capire se verifica i certificati.
È possibile usare una query sul lato server per verificare se si usa SSL?
Per verificare se si usa una connessione SSL per connettersi al server, vedere Verificare la connessione TLS/SSL.
Cosa succede se ho altre domande?
In caso di domande, è possibile ottenere risposte dagli esperti della community in Domande e risposte Microsoft.